我有一个小型云服务器 PLESK,正在努力满足 PCI 合规性。归结为 Qualays 的一些错误。我似乎不明白如何解决最后几个错误。我只需要创建一个自定义错误页面吗?以下是 Qualays 的结果。
威胁: 当检测到运行时错误、详细服务器错误和潜在的堆栈跟踪时,将报告此发现
以下是150022的两个例子
影响: 详细的错误消息通常会暴露对攻击者有帮助的技术细节。详细错误可以让攻击者了解有关应用程序的“内部”信息 和/或托管基础设施,使他们能够更有效地瞄准目标。
解决方案: 实施强大的错误和异常处理,以确保 Web 应用程序仅显示一般错误消息。避免返回堆栈跟踪、调试 信息或其他技术细节给客户端。应用程序还应该实施严格的输入数据验证。限制用户提供的数据包含 输入字段所需的最小字符集并验证数据以确保其符合预期格式。
结果: 网址: urlhidden.php?prod=file%3A%2F%2F%2Fetc%2Fpasswd 测试参数:prod 有效负载:文件:///etc/passwd 变体:44 评论:回复状态:200
为了解决 PCI 合规性问题,请确保您的服务器实施强大的错误处理以仅显示通用消息,避免堆栈跟踪等详细信息。严格验证输入数据,以防止意外的有效负载导致错误或泄露敏感信息。